Création d un Firewall

Transcription

1 Année académique Création d un Firewall Travail à réaliser : L objet de ce projet de fin d études est la création d un Firewall qui est basé sur le principe du filtrage de paquets. Le travail consiste dans l édition et l installation d un script firewall sur une machine Linux du Centre Universitaire. La description de diverses méthodes d intrusions connues est une partie essentielle du projet. Pour cela, il faut faire une synthèse de divers papiers recherchés sur Internet et sur d autres sites. Enfin, la validation du script consiste en un contrôle que les divers dispositifs de protection fonctionnent correctement. Etudiant : Nom : Gaspers Serge Classe : 2 e année du D.U.T. en informatique Adresse : 2, rue du Fossé L-3644 Kayl (Luxembourg) Téléphone : ou sergej@ .lu ou gaspers@cu.lu Promoteur du projet : Prof P. YANS

2 1. Table des matières 1. Table des matières Remerciements Introduction...6 Évolution récente des intrusions...6 Classification des intrus...6 Qu est-ce qu un firewall?...7 Les types de firewall Le filtrage de paquets Les Application-Level Gateways Les Circuit-Level Firewalls...8 Architecture des firewalls Firewall personnel Firewall bastion Firewall bastion + Firewall interne (choke) Notions de base...11 TCP/IP...11 IP...11 Adresse IP...11 Datagrammes IP...12 Paquets ICMP...13 Ports...14 Paquets UDP...15 Paquets TCP...15 Runlevel-Manager...18 Description des services démarrés par le Runlevel xinetd...21 inetd classique...21 xinetd...21 DNS...21 Structure des noms symboliques sous forme d arbre...21 Traitement d une requête d un client Le filtrage de paquets...24 Masquage d IP ipchains...28 Les options d Ipchains F [<chaîne>] P <chaîne> A [<chaîne>] I [<chaîne>] i <interface> p <protocole>...29 Page 2 sur 86

3 -j <policy> s <adresse> [<port>] d <adresse> [<port>] l y...30! y Exemples tirés du script...31 Règles générales...31 Options du kernel...31 Fausses adresses...32 Messages ICMP...33 Protection des services utilisant des ports non privilégiés...34 Services necessaries...35 DNS...35 Services TCP fréquents...35 HTTP (www)...35 SSH...36 Services UDP fréquents...37 Traceroute...37 Installation du firewall Adresse IP statique Connexion PPP Attaques fréquentes et les solutions possibles...39 Denial of Service (DoS)...39 Introduction...39 Effets...39 Types d attaque...39 Buffer Overflow mountd dans NFS IMAP POP...47 CGI et les méta-caractères...47 Définitions...47 Pourquoi les méta-caractères sont dangereux...48 Comment éviter ce danger?...48 FTP...49 Généralités...49 Configuration d un serveur FTP anonyme...49 Serveur FTP compromis...52 Attaque FTP bounce Présentation des utilitaires et test du système...56 netstat...56 ping...57 ifconfig...58 traceroute...58 nslookup...60 Page 3 sur 86

4 whois...60 route...61 D'abord quelques explications:...61 La commande route:...62 Nmap...63 Description...63 Options Conclusion...73 iptables...73 ipfilter...73 Expérience personnelle...73 ANNEXE A : Les srcipts...75 script principal...75 Autres scripts utiles...81 accept-all...81 block-ip...81 unblock-ip...82 ANNEXE B : Ressources...83 Livres :...83 Linux Firewalls...83 linux firewalls konzeption und implementierung für kleine netzwerke und PCs...83 Sites Internet (principaux):...83 Pages Man et Howtos :...84 ANNEXE C: Index...85 Page 4 sur 86

5 2. Remerciements Je tiens à remercier le tuteur de ce projet, M. P. Yans qui m a toujours indiqué les étapes à franchir tout au long de ce projet, relu ce que j avais produit plusieurs fois et donné son avis. Il était aussi ouvert pour toutes les questions, l étudiant Christophe Ferreira qui a mis à ma disposition son ordinateur de la salle informatique du Centre Universitaire plusieurs fois pour que je puisse effectuer les tests nécessaires, l administration du Centre Universitaire pour avoir mis à ma disposition le matériel informatique nécessaire (machines, réseau, imprimante, ) et pour m avoir prêté le livre «linux firewalls» de Robert L. Ziegler, ma famille et ma copine pour le soutien moral pendant cette période. Page 5 sur 86

6 3. Introduction Évolution récente des intrusions Au cours des dernières années, le nombre d intrusions illégales dans des systèmes informatiques à travers Internet a considérablement augmenté. Un CERT (Computer Emergency Response Team) est un organisme ou une société qui produit des rapports sur les incidents qui comprennent les attaques, les virus et les bugs et des rapports sur des vulnérabilités qui concernent des systèmes d exploitations ou des applications logicielles spécifiques. Un CERT a donc pour but d informer et de prévenir/réagir ainsi face aux incidents de sécurité qui augmentent d année en année. Souvent, il donne aussi des conseils aux utilisateurs pour éviter des attaques. Le CERT/CC (Computer Emergency Response Team / Coordination Center) publie l ensemble des rapports et statistiques qui lui sont donnés par les différents CERTs réparties dans le monde. Voici un graphique qui illustre l augmentation des incidents reportés aux CERTs pendant les dernières années. En se basant sur le nombre d incidents qui ont été reportés pendant le premier quart de l année 2002, on peut prévoir qu en 2002, le nombre d incidents double encore une fois par rapport à l année précédente. Incidents reportés à CERT nombre d'incidents Année Classification des intrus Les gens qui s introduisent dans des systèmes sont de deux familles : les pirates, Crackers ou Black Hats qui se caractérisent par des activités illégales et les White Hats (parfois nommés simplement hackers) qui s illustrent par leur désir de connaître, d apprendre et d améliorer la sécurité en ligne. Page 6 sur 86

7 Un des plus réputés White Hats en France agit sous le pseudonyme «Fozzy». Il a trouvé récemment plusieurs failles dans les services de courrier électronique : Hotmail et Yahoo! Après avoir alerté les deux services, il recevait une réponse de Hotmail disant que le problème était résolu. En revanche, Yahoo! ne parvenait pas à résoudre le problème avant que «Fozzy» ne publie le problème dans le journal «Hackerz Voice» pour avertir les utilisateurs. Mais les intrusions ont souvent d autres raisons que la sécurisation de systèmes informatiques : Quelques pirates pénètrent dans des ordinateurs parce que c est un loisir intéressant pour eux ou parce qu ils aiment se vanter, embêter les autres ou le défi. D autres, par contre, cherchent des avantages plus concrets, comme la diffusion de copies illégales de logiciels ou l espionnage. Enfin, les «Hacktivistes» ont des raisons politiques pour s introduire dans des systèmes. Par exemple, en 1999, le site du Front National avait été hacké par le hacktiviste Raptor666 qui avait remplacé la page d accueil par une autre qui attaquait le racisme et le fascisme. Qu est-ce qu un firewall? Pour lutter contre des intrusions illégales, l établissement d un pare-feu (appelé aussi coupefeu ou firewall en anglais) est indispensable. C est un système qui permet de protéger un ordinateur ou un réseau des attaques qui proviennent d un autre réseau, notamment Internet. Le système firewall est un système logiciel (parfois également matériel) constituant un intermédiaire entre le réseau local et le monde extérieur. Dans le cas où la zone protégée se limite à l ordinateur sur lequel le firewall est installé, on parle de firewall personnel. Réseau externe / Internet Firewall Réseau interne Dans le cadre de ce projet de fin d études, un firewall personnel doit être installé. Celui-ci se laisse quand-même transformer aisément en un firewall qui protège tout un réseau. Les types de firewall 1. Le filtrage de paquets Un firewall fonctionnant selon le principe du filtrage de paquets analyse les paquets, donc les messages qui sont échangés entre deux machines. Plus précisément, ils analysent l en-tête de Page 7 sur 86

8 ces paquets, qui contient surtout des informations pour l acheminement des paquets et sur le type des paquets, et décident si le paquet est acceptable ou pas. L avantage de ce type de firewall est qu il n a pratiquement pas d impact sur les performances du réseau et est tout à fait transparent pour l utilisateur. Il peut aussi enregistrer les paquets non acceptés dans des journaux, ce qui facilite de retrouver les auteurs de l agression. L inconvénient majeur est que l authentification ne peut se faire qu à partir de l adresse IP. Si l administrateur bloque l adresse IP d un ordinateur du réseau interne, c est-à-dire qu il rejette tous les messages qui partent de cette adresse IP ou qui sont destinés à celle-ci, pratiquement rien n empêche l utilisateur de se connecter d un autre ordinateur du même réseau à Internet ou de simplement changer son adresse IP. Notre firewall personnel travaillera selon ce principe. Une bonne connaissance du protocole TCP/IP est nécessaire afin de créer des règles de filtrage cohérentes. 2. Les Application-Level Gateways Ce type de firewall est mieux connu par les logiciels qui tournent sur son système : les proxies. Ce sont des logiciels spécifiques écrits pour chaque service qui doit être supporté et permettent de filtrer les communications application par application. L ordinateur qui relie le réseau interne au réseau externe est appelé serveur proxy. Chaque programme proxy de ce serveur se comporte vis-à-vis du client sur le réseau interne comme serveur et vis-à-vis du serveur sur le réseau externe comme client. Pour chaque application dont l administrateur veut accepter la communication du réseau interne avec l extérieur, il doit y avoir un programme proxy qui peut contrôler l intégrité des données sur un niveau plus haut que le filtrage de paquets, car le programme proxy connaît la manière dont les données doivent être structurées dans l application en question. En plus, il peut scanner les données pour trouver des virus et authentifier les utilisateurs. L avantage de ce type de firewall est qu il offre en principe le plus haut degré de sécurité envisageable. Un autre avantage est que l administrateur peut forcer l authentification des utilisateurs avec un nom d utilisateur et un mot de passe. Les Application-Level Gateways sont plus faciles à configurer et à tester que les firewalls basées sur le filtrage de paquets. On peut encore remarquer qu il est facile de loguer le trafic entrant et sortant. Le plus grand désavantage de ce type de firewall est que des programmes et des interfaces spécialisés sont requis et que seulement les services les plus importants seront supportés. Un autre inconvénient est la forte consommation de ressources sur le serveur proxy. Ce type de firewall est aussi moins transparent envers l utilisateur. 3. Les Circuit-Level Firewalls Ce type de firewall ne réalise aucun contrôle ou filtrage une fois que la connexion est permise. Ils agissent simplement comme un tuyau (wire) entre le serveur et le client. Comme les Application-Level Gateways, ils permettent l authentification des utilisateurs et ils apparaissent pour chaque interlocuteur comme l autre extrémité de la connexion. Ce type de firewall est souvent utilisé pour les communications sortantes en parallèle avec un autre type de firewall pour les communications entrantes, ce qui forme un firewall hybride. Architecture des firewalls À part le choix du type de firewall que l on veut implémenter, il est aussi nécessaire de choisir une architecture qui est en accord avec le degré de sécurité souhaité et le nombre et le type de machine(s) qu on veut protéger. Voici quelques architectures possibles : Page 8 sur 86

9 1. Firewall personnel On parle de pare-feu personnel si seulement un ordinateur doit être protégé contre d éventuels intrus. Il est clair que dans une telle architecture le choix d un Application-Level Gateway ou d un Circuit-Level Gateway a peu de sens. Vu que ce projet a pour objectif de protéger en premier lieu une seule machine du Centre Universitaire, cette architecture très simple sera utilisée. 2. Firewall bastion Une firewall bastion se situe entre le réseau externe (Internet) et le réseau interne (LAN). Sa mission primaire est de protéger le réseau local contre d éventuelles agressions venant de l extérieur. Dans certains cas, il est également nécessaire de limiter les actions des utilisateurs du réseau interne, pour éviter que ceux-ci lancent des attaques, par exemple. Des parents peuvent aussi implémenter un serveur proxy pour éviter que les enfants recherchent des pages contenant certains mots ou accèdent à certains sites. Internet Firewall bastion LA N Dans le cas où l on ferait confiance aux utilisateurs du réseau interne, le firewall personnel qui est établi dans le cadre de ce projet peut facilement être converti en un pare-feu bastion. Cette architecture est acceptable pour des petits réseaux locaux, mais les grands réseaux qui offrent aussi plusieurs services, comme des services web et ftp font mieux de choisir la prochaine architecture, car une fois que le firewall bastion est percé, tout le réseau interne est accessible à l intrus. 3. Firewall bastion + Firewall interne (choke) Dans un grand réseau qui offre des services à des clients se trouvant sur le Net, il vaut mieux différencier les serveurs offrant des services, sur lequel se trouvent des informations publiques et les machines du réseau local, sur lequel se trouvent des données personnelles de l entreprise qui doivent être protégées davantage. Dans cette architecture, il y a deux pare-feux, un qui protège les serveurs de services et un qui protège les machines du réseau interne. Les règles de sécurité du 2 e firewall (choke) seront plus restrictives, car dans le cas où quelqu un arriverait à s introduire dans un serveur web, par exemple, il ne doit pas être capable d attaquer les ordinateurs du réseau local. Page 9 sur 86

10 La zone qui est moins protégée de par le fait qu elle doit offrir certains services est appelée zone démilitarisée. Elle se situe entre les deux firewalls. Internet Serveur FTP Firewall 1 (bastion) Serveur Web DMZ (DeMilitarized Zone) zone démilitarisée Firewall 2 (Choke) LA N LAN (Local Area Network) protégé davantage Page 10 sur 86

11 4. Notions de base TCP/IP Pour transporter des informations d une machine à l autre à travers l Internet, une famille de protocoles est utilisée, appelée TCP/IP (Transmission Control Protocol / Internet Protocol). Le modèle TCP/IP est divisé en quatre couches/niveaux pour faciliter la communication entre les ordinateurs. On divise pour mieux régner. Chaque couche a une tâche bien déterminée et ne doit pas nécessairement savoir comment les données sont traitées dans les autres couches. Couche Application Chemin d un message telnet, www, ftp, http, Couche Application Couche Transport TCP, UDP Couche Transport Couche Réseau IP, (ICMP) Couche Réseau Couche Liaison Protocole liaison eth, Couche Liaison Canal physique IP La couche Application permet à 2 applications sur différentes machines de communiquer, c est-à-dire de s envoyer des messages mutuellement. La structure de ces messages dépend du type de l application. Une page web est par exemple transmise par le protocole http. La couche Transport accepte les données de la couche Application, les découpe en paquets (segments TCP ou datagrammes UDP, cf. page 15) et les ordonne. Elle assure éventuellement l intégrité des messages transmis de bout en bout. La couche Réseau s occupe de l acheminement des datagrammes (paquets IP, cf. page 11). Finalement, la couche Liaison est responsable de l acheminement de blocs d information sur la liaison physique (ligne téléphonique, satellite, réseau local). Pour effectuer une transmission correcte, cette couche attache des en-têtes au paquet de données à transmettre. Les messages qui sont échangés sont appelés trame. Sa conception incombe plutôt à des spécialistes du domaine de l ingénieur électronicien. Adresse IP Une adresse IP est un nombre de 32 bits (4 octets) qui identifie une machine, plus précisément une interface réseau, c est-à-dire un modem ou une carte ethernet,. Sa représentation se fait en notation décimale pointée. Les adresses possibles vont donc de à et elle doit être unique au monde. Elle est découpée en deux parties : la première désigne Page 11 sur 86

12 l adresse de réseau (network id), la seconde est l identificateur local de la machine (host id). L adresse de réseau des grands réseaux est plus petite que celle des petits réseaux. Réseau de classe A : de à max id locaux Réseau de classe B : de à max id locaux Réseau de classe C : de à max. 254 id locaux Réseau de classe D : de 224.* à 231.* adresses multicast Réseau de classe E : de 239.* à 254.* réservé pour utilisations futures L adresse est l adresse loopback ou localhost. Par cette adresse, on désigne soi-même. Ceci est utile si on veut tester des logiciels. On leur dit donc de se connecter à sa propre machine sans passer par l interface externe (modem, carte ethernet, ). Si tous les bits de l identificateur local sont mis à 0, on désigne tout le réseau, p.ex.: désigne le réseau de la classe C qui se trouve au rez-de-chaussée du Bâtiment des Sciences dans le Centre Universitaire. Si tous les bits de l identificateur local sont à 1, on désigne l adresse broadcast de ce réseau, donc toutes les machines de ce réseau. Un paquet envoyé à une adresse broadcast est envoyé à toutes les machines de ce réseau (si le réseau n est pas configuré de façon à ignorer le broadcasting par mesure de sécurité), p.ex.: Si on veut adresser toutes les machines du même réseau, l adresse de diffusion locale est utilisée, ainsi l ordinateur n a pas besoin de connaître l adresse de son réseau. Ceci est la raison pour laquelle un réseau de classe C peut seulement avoir 254 identificateurs locaux alors que théoriquement 2 8 =256 seraient possibles : une adresse IP est réservée pour désigner le réseau et une est l adresse broadcast. L adresse est émise comme adresse source si cette machine ne connaît pas son adresse IP. Exemple : une machine sans disque de démarrage utilisant RARP (voir page 13) ou une nouvelle station arrivant sur le réseau. Sous-réseaux IP L administrateur réseau peut diviser son réseau en plusieurs sous-réseaux (subnet) pour avoir une meilleure structuration du réseau. Le réseau de classe C peut, par exemple, être divisé en deux sous-réseaux. Dans ce cas de figure, le premier bit de la partie host id (dernier byte de l adresse IP) dans une adresse IP définit alors à quel réseau l adresse IP appartient. Datagrammes IP Le format de paquet adopté par la couche IP est le datagramme. C est donc un groupe d octets qui circule sur Internet, provenant d une station et à destination d une autre station. Un datagramme IP est divisé en 2 parties : l en-tête (header) et les données. L en-tête contient entre autre les informations suivantes : Vers : la version du protocole. La version actuelle est la version 4 IHL : Internet Header Length. C est la longueur de l en-tête exprimée en mots, en anglais Fullword (1 Fullword = 4 octets). Généralement, l en-tête a une longueur de 5 mots TOS : Type of Service. Ce champ n est actuellement pas utilisé, il était prévu pour donner la qualité de service requise. Page 12 sur 86

13 TL : Total Length. C est la longueur totale du datagramme IP en octets. La longueur maximale d un datagramme IP est de 64 Ko, mais il est recommandé de ne pas dépasser les 576 octets. TTL : Time To Live : C est le nombre maximal de routeurs qu un datagramme peut traverser (ou nombre de hops). Il sert à éviter qu un datagramme circule éternellement en cas de boucle, mais il sert à d autres utilisations (voir la commande traceroute, page 58). En fait, les routeurs prennent seulement en compte l adresse IP destinataire du datagramme pour choisir à quel routeur il faut le transmettre et il se peut que des informations n arrivent jamais à son destinataire dans le cas d une boucle. Protocol : Ce champ indique le protocole de la couche supérieure. TCP T En fait, on peut considérer que le protocole ICMP se situe entre la couche : 6 UDP C Réseau et la couche Transport. C est la raison pour laquelle je l ai mis entre : 17 ICMP P parenthèses dans la couche Réseau sur le graphique au-dessus. Mais en tout : 1 cas, un datagramme IP est compris dans un Message ICMP. Ensuite, un datagramme IP contient encore un champ qui vérifie l intégrité de l en-tête (Header Checksum) et des champs qui contiennent des informations sur la fragmentation IP : le n d identification du datagramme (ID), des flags qui indiquent s il y a encore des fragments qui vont arriver (Flags) et la position du fragment dans le datagramme d origine (FO = Fragment Offset). Naturellement, une en-tête IP contient aussi l adresse IP de l émetteur (Source Address) et celle du destinataire (Destination Address). Attention, ce sont les adresses des extrémités et non pas des routeurs intermédiaires. Les deux autres champs sont Options (niveau de sécurité, time stamp) et Padding (complète le champ Options pour que l en-tête soit un multiple de 32). ARP (Address Resolution Protocole) est un protocole qui permet de trouver l adresse physique (appelée adresse Ethernet ou encore adresse MAC : Medium Access Control) sur le même réseau en donnant uniquement son adresse IP. En fait, la carte réseau de chaque machine connectée au réseau possède un numéro d identification unique qui est fixé dès la fabrication de la carte en usine. Toutefois, la communication sur Internet ne se fait pas directement à partir de ce numéro, mais à partir d une adresse logique : l adresse IP. Si l acheminement des paquets serait fait en utilisant cette adresse physique, les mises à jour dans les routeurs suite à des remplacements de cartes ne trouveraient pas de fin. Les correspondances entre les adresses physiques et logiques sont faits à l aide d une table ARP. Sous Linux, le contenu de cette table peut être affiché par la commande arp a. L effet renversé (trouver l adresse IP à partir d une adresse physique) peut être obtenu par rarp a. C est souvent utilisé dans le cas où une machine n aurait pas de disque de démarrage et utilise le protocole rarp pour demander au serveur sa propre adresse IP et, par la suite, charger un fichier en mémoire pour amorcer la machine. Paquets ICMP L abréviation ICMP signifie «Internet Control Message Protocol» et c est un protocole qui s occupe des messages d erreurs transmis sur le réseau. Un tel paquet peut être envoyé par l équipement destinataire ou un routeur intermédiaire s il constate un problème lié à un paquet d un autre type. En général, un message ICMP ne doit pas engendrer un autre message ICMP, il ne demande donc pas de réponse (exception : ICMP echo request). Cela évite d entrer dans un cercle vicieux de réémissions de messages de contrôle en réponse à d autres messages de contrôle. Donc, en cas d erreur sur un datagramme transportant un message ICMP, aucun message d erreur n est délivré. Page 13 sur 86

14 Comme je l ai dit auparavant, ce protocole utilise le protocole IP comme une couche supérieure, il est donc contenu dans En-tête IP En-tête ICMP Données ICMP un datagramme IP. Le but de ces messages de contrôle est de pouvoir signaler l apparition d un cas d erreur dans l environnement IP. C est la raison pour laquelle le protocole ICMP fait partie de la couche Réseau. L en-tête ICMP décrit seulement que c est un message ICMP. Le champ données ICMP est divisé en 4 parties : Type, Code, Checksum et Message. Le premier octet du champ données ICMP est son type. Sa valeur détermine le format du reste des données. Voici quelques exemples de types : Type Nom symbolique Signification 0 echo-reply Réponse à un ping 3 destination-unreachable Un routeur ne peut pas transmettre le paquet au routeur/réseau suivant 4 source-quench Le routeur signale que le volume de données envoyé est trop grand et demande de réduire la vitesse de transmission 5 redirect Le routeur pense qu il y a une route plus courte 8 echo-request Envoi d un ping 11 time-exceeded Le temps de vie (ttl = time-to-live) est dépassée 12 parameter-problem Le champ d une en-tête est erroné La partie Code du champ Données ICMP nous donne plus d informations sur la cause de l envoi du message ICMP. Pour le type destination-unreachable (3), le tableau suivant donne les codes les plus fréquents et leur signification : Code Signification 0 Réseau inaccessible 1 Hôte inaccessible 2 Protocole non disponible 3 Port non accessible 4 Fragmentation nécessaire, mais interdite par un flag dans l en-tête IP 5 Le routage a échoué La partie Checksum contient des bits qui permettent de contrôler l intégrité du message. La partie Message est variable en taille, elle dépend du type de message ICMP. Souvent, elle contient l en-tête IP plus les 64 premiers bits extraits du datagramme original. Ces données peuvent être utilisées par la machine hôte pour reconnaître le programme concerné par ce message. Ports Un port est un identificateur d une application. C est simplement un numéro qui désigne une destination abstraite utilisée par un protocole de la couche Transport. Derrière les ports se cachent des applications qui veulent communiquer avec d autres programmes à travers Internet. On peut dire que les ports sont des noms numériques de 0 à pour les services réseau/internet. Les démons (en anglais daemons), c est-à-dire les programmes qui attendent des connexions (ils se trouvent sur des «serveurs»), les plus importants sont désignés par les Page 14 sur 86

15 ports privilégiés (1 à 1023). L IANA (Internet Assigned Numbers Authority) s occupe de l affectation des services aux ports. Les programmes des ports privilégiés ont en général les privilèges root, mais il y a des exceptions. Quoique l affectation des numéros de ports aux applications soit standardisée, un client ne peut jamais être sûr que le service avec lequel il communique est réellement celui qu il prétend être. Un service est dit «offert» s il est accessible au port correct. Le tableau suivant montre les ports les plus importants et leur nom symbolique. Port Nom Protocole Explication 20 FTP-Transfert TCP Connexion de données du protocole FTP 21 FTP-Contrôle TCP Connexion de commande du protocole FTP 23 Telnet TCP Terminal à distance (TErminaL NETwork protocol) : c est un terminal virtuel utilisable à partir d une autre machine 25 SMTP TCP Transmission de messages 43 Whois TCP Permet d avoir des informations sur un réseau 53 DNS TCP ou UDP Domain Name Server : pour la conversion des noms symboliques en adresses IP 80 WWW TCP World Wide Web utilisé par les serveurs Web et les browseurs, basé sur le protocole HTTP 443 HTTPS TCP Utilisé par SSL (Secure Socket Layer), un protocole pour l accès sécurisé et crypté à des sites Web. Aux ports non-privilégiés (1024 à 65535) sont affectés dynamiquement les applications du client qui veulent communiquer avec le serveur. Quelques ports de ce domaine peuvent aussi être utilisés pour des services spécifiques, comme le serveur X-Window (ports 6000 à 6063). Une connexion est toujours identifiée par deux «sockets» : Le socket client est la combinaison entre le port client, son adresse IP et le type de protocole (TCP ou UDP). Le socket serveur est composé de la même façon. Paquets UDP Les deux protocoles principaux de la couche Transport sont TCP et UDP. La différence fondamentale entre eux est que TCP fonctionne en mode orienté connexion et que UDP fonctionne en mode sans connexion. UDP signifie «User Datagram Protocol». Vu que ce protocole est sans connexion, il est sans garantie, c est-à-dire qu il n y a pas de confirmation que l autre ordinateur a reçu le paquet, pas de contrôle de flux et pas d ordonnancement des paquets. On peut comparer ce protocole par l envoi d une lettre en vie pratique. Par contre, le protocole TCP est comparable à un appel téléphonique, vu qu on doit d abord établir une connexion avant d échanger des informations. Le protocole UDP ajoute une en-tête de 8 octets aux données qu il a reçu de la couche supérieure. Elle comprend le port source et le port destinataire ; le port source est optionnel, il peut indiquer un port pour la réponse. Le champ Length de 16 bits contient la longueur totale du paquet UDP, la longueur maximale étant de 2 16 = 64 Koctets. Enfin, le champ Checksum (qui est optionnel) est la seule garantie sur la validité des données (en-tête UDP & données proprement dites) qui arrivent à destination. Paquets TCP Le protocole TCP (Transmission Control Protocol) a été conçu pour répondre aux besoins suivants : Page 15 sur 86

16 Faire tout ce que UDP sait faire, Vérifier que le destinataire est prêt à recevoir des données, Fragmenter les gros paquets pour que IP les accepte, Numéroter les paquets pour vérifier s ils sont tous arrivés à destination, le cas échéant redemander les paquets manquants et réassembler tous les paquets fragmentés pour les donner à la couche Application. Comme UDP, TCP contient aussi les champs port source, port destinataire et Checksum. En plus, un paquet TCP contient les champs suivants : La Sequence Number est la numérotation des octets dans les paquets, donc le nombre d octets déjà transmis. Il est utilisé pour donner la possibilité de redemander les paquets perdus en route ou pour éliminer les paquets qui sont arrivés plusieurs fois. L Acknowledgement Number exprime le numéro du prochain octet que le destinataire espère recevoir et c est en même temps un accusé qu il a reçu les octets précédents sans erreur ni perte. Le champ Data Offset ou HLEN est la longueur de l en-tête donnée en multiple de 32 octets. Le champ Window indique combien d octets l émetteur peut envoyer sans avoir eu un acquittement des paquets précédents. En effet, on a introduit dans TCP le mécanisme de «fenêtre de transmission». Dans la fenêtre sont les octets qui ont déjà été envoyées, mais dont l acquittement n a pas encore été reçu et les octets qui peuvent encore être envoyés sans qu on doive recevoir un acquittement pour des paquets antérieurs. Ce mécanisme évite que le serveur doive attendre l acquittement du paquet précédent avant transmettre le prochain Dernier octet envoyé et acquitté Dernier octet envoyé (non Dernier octet qui peut être envoyé avant de recevoir un nouvel acquittement Pour chaque connexion, le serveur et le client doivent alors gérer 3 pointeurs, représentés par les bulles ci-dessus. Le champ Window contient alors la largeur de la fenêtre. En plus, un paquet contient encore 6 fanions (flags) : - URG : message urgent ou non, exemple: interruption - ACK : utilisé pour l accusé de réception - SYN : exprime le désir d établir une connexion - PSH : le paquet doit être délivré immédiatement et ne pas être mis dans un buffer - RST : exprime le désir de réinitialiser la connexion - FIN : termine la connexion Dans le cas normal, l échange de données en utilisant le protocole TCP comporte trois phases: L établissement de la connexion, Le transfert de données et le contrôle de flux, La libération de la connexion. Page 16 sur 86

17 L établissement de la connexion se fait par une «procédure à trois mains» (en anglais «Three-Way Handshake»). a) D abord, le client qui veut établir une connexion avec le serveur, émet un paquet TCP qui contient le flag SYN et le numéro de séquence x. b) Si le serveur reçoit ce paquet et s il offre le service correspondant, il envoie un paquet SYN-ACK avec le numéro de séquence y et le numéro d accusé de réception x + 1. c) Le client qui a reçu ce paquet émet donc un paquet ACK avec l Acknowledgement Number y + 1. La connexion est à ce moment établie pour le client et dès que le serveur reçoit ce paquet, il sait aussi que la connexion est établie. À partir d ici, les deux correspondants n envoient que des paquets dont le flag ACK est mis et le flag SYN pas. En mots plus clairs : a) D abord, le client exprime le désir qu il veut se connecter au serveur. b) Celui-ci répond qu il a bien reçu la demande du client et confirme que le client a bien le droit de se connecter au service correspondant. c) Le client confirme qu il a reçu la réponse du serveur et la connexion est établie. flags : SYN n de séq. : x addr. émetteur: addr. destinataire: Client IP : flags : SYN, ACK n de séq. : y n d accusé: x+1 addr. émetteur: addr. destinataire: flags : ACK n de séq. : x+1 n d accusé: y+1 addr. émetteur: addr. destinataire: Serveur IP : La connexion étant établie, le transfert de données peut se faire. Le protocole TCP utilise le mécanisme de la fenêtre coulissante (sliding window), appliqué sur les octets et non pas sur les paquets pour être plus efficient (voir plus haut). Les champs Sequence Number et Acknowledgement Number assurent que tous les paquets arrivent à destination. Un paquet est retransmis automatiquement si le serveur s aperçoit que le client émet plusieurs fois un paquet qui indique qu il attend une suite d octets donnée. (Exemple : le serveur reçoit 3 fois un paquet dont le n d accusé vaut 303 il réémet le paquet qui contient comme premier octet l octet n 303). La libération de la connexion peut se faire de deux façons : la libération normale ou la libération d interruption (ou libération brutale). La première situation est celle où un des deux correspondants indique qu il n y a plus d informations à transmettre et émet un paquet FIN. Page 17 sur 86

18 La deuxième est celle où le client émet un paquet RST (reset) contenant la primitive ABORT. Toute transmission est interrompue, les réceptions sont ignorées et les tampons (buffers) sont vidés des deux côtés. Le serveur émet encore un paquet avec la primitive TERMINATE et un code qui représente la raison de la libération brutale. Runlevel-Manager Après être démarré, Linux a déjà démarré un certain nombre de services (démons) que vous pouvez définir manuellement à l aide du «Runlevel-Manager» ou en éditant les fichiers de configuration. Un Runlevel décrit le démarrage du système ou son état pendant son activité. Ils sont numérotés de 0 à 7. 0 : tâches exécutées avant l arrêt du système 1 : tâches exécutées au passage dans le mode single-user 2 : état normal, NFS est désactivé 3 : état normal 4 : réservé pour la définition d un nouveau Runlevel par l utilisateur 5 : état normal, mais xdm (X Window Display Manager) est actif rend possible le login graphique 6 : tâches exécutées avant le redémarrage du système Le Runlevel par défaut peut être défini dans le fichier /etc/inittab. C est un fichier de configuration ; le père de tous les processus, init, lit ce fichier chaque fois que l ordinateur démarre. Pour un firewall, le Runlevel 2 est le meilleur choix. Nous pouvons donc éditer le fichier /etc/inittab et remplacer la ligne id:5:initdefault par la ligne id:2:initdefault Ensuite, nous pouvons regarder de plus près quels services sont démarrés par le passage dans le Runlevel 2. Pour cela, je préfère utiliser le programme Runlevel-editor de KDE. Il est aussi possible d éditer les fichiers de configuration dans le répertoire /etc/rc.d. Le fichier /etc/rc.d/rc2 est donc le fichier où est défini quels services sont démarrés et lesquels sont arrêtés lors du passage dans ce Runlevel. Un Runlevel-Manager est donc juste une interface graphique qui édite ces fichiers de configuration. Page 18 sur 86

19 Voici un écran du Runlevel-editor de KDE : Et le Runlevel-Manager original : Page 19 sur 86

20 Description des services démarrés par le Runlevel 2 ipchains programme pour l administration d un firewall ; nous le verrons les détails plus loin iptables un autre programme pour l administration d un firewall plus récent que ipchains network syslog keytable random apmd sshd s occupe de la connexion de toutes les interfaces SYStem and kernel LOGger ; il permet de lire/effacer les buffers circulaires de messages (log, journal) du noyau ce service charge les différents «plans de boutons» pour le clavier init /dev/random script ; initialise et sauvegarde des informations pour le démarrage et l arrêt du système Advanced Power Management Daemon ; il permet de surveiller tout ce qui est en relation avec l alimentation électrique du système. Il peut exécuter des commandes quand certains événements arrivent, par exemple alerter les utilisateurs quand la batterie est faible. Secure SHell Daemon ; c est un démon qui donne un terminal virtuel à distance. Des utilisateurs externes peuvent alors faire un login sur notre machine et ils disposent d un terminal virtuel qui leur permet d exécuter des commandes. Il doit remplacer les démons moins sûrs comme telnet, rlogin et rsh qui permettent de faire la même chose. lpd isdn pppoe Line Printer Daemon; il s occupe de la communication avec l imprimante nécessaire si vous avez une connexion ISDN C est un client pour PPPoE (Point-to-Point Protocol over Ethernet). Il fournit une connexion PPP à travers Ethernet. Il encapsule des trames PPP de la couche liaison dans des trames Ethernet. sendmail gpm S occupe de la transmission de messages C est un utilitaire qui permet de faire le cut and paste (copier et coller) et s occupe de la gestion de la souris dans une console virtuelle crond CRON Daemon ; démon permettant de lancer des commandes différées xfs anacron local X Font Server; il alimente les serveurs d affichage X Window System avec des polices de caractère démon qui exécute des commandes périodiquement. Contrairement à crond, il ne suppose pas que la machine soit allumée tout le temps et est il est plutôt utilisé pour exécuter des tâches chaque jour, semaine ou mois, alors que les tâches de cron s exécutent normalement plus souvent. appelle le script rc.local. Il est exécuté chaque fois que l ordinateur démarre. C est souvent ici qu on fait le setup du firewall. Page 20 sur 86